Я пытаюсь использовать существующие сертификаты LE с сервером в моей локальной сети. Я открыл порт 443, чтобы получить сертификаты для mine.example.com и доступ по https работает нормально из WAN.
Однако я предположил (возможно, глупо), что могу использовать те же сертификаты внутри, настроив перенаправление DNS (используя dnsmasq в отдельном поле) в своей локальной сети, чтобы указать mine.example.com на локальный IP.
Перенаправление работает нормально и указывает локальным машинам на внутренний IP-адрес, когда я перехожу на mine.example.com но сертификаты теперь показывают ошибки «Центр сертификации недействителен».
Возможно, я неправильно понимаю, как работает процесс CA, но я предположил, что, поскольку сертификаты LE основаны на DNS, они все равно должны работать с локальным перенаправлением DNS.
Кто-нибудь знает, как заставить это работать?
Или кто-нибудь может объяснить, почему не работает?
Я знаю, что могу стать другим сертификаты для локальных машин от LE, но это будет означать попытку настроить сервер для использования разных сертификатов для внутреннего и внешнего доступа. Предполагая, что мне нужно это сделать, есть ли простой способ использовать разные сертификаты в зависимости от исходного трафика?
Я буду обслуживать веб-контент через nginx, а также через административную панель Webmin, поэтому это может быть относительно легко сделать для nginx, учитывая гибкость конфигураций (хотя Google и здесь не слишком помог), но не уверен в других веб-сервисах. работает на автомате?
P.S. извините, если это окажется дубликатом, но не смог найти ничего с большим поиском здесь (или в Google).
Вам нужно будет проверить сертификаты в доверенном корневом хранилище каждой системы, чтобы узнать, установлены ли соответствующие корневые центры сертификации.
Let's Encrypt имеет документацию по своим сертификатам: https://letsencrypt.org/certificates/ Обратите внимание, что они были перекрестно подписаны IdenTrust в дополнение к цепочке, подписанной их собственным корнем, ISRG.
В Windows при открытии сертификата и просмотре вкладки «Путь сертификации» отображается цепочка. Недоверенные сертификаты имеют значок ошибки и текст состояния, отличный от ОК. Проверьте, какой корень вы используете, и есть ли он в вашем надежном магазине. В Chrome сертификат можно найти в инструментах разработки F12 на вкладке безопасности.
Также рассмотрите возможность использования против него тестера TLS, например testssl.sh. Хранилище сертификатов будет другим, но оно может показывать ряд проблем.